최고정보보안책임자

이 글은 검증을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : '최고정보보안책임자'– 뉴스 · 신문 · 도서 · 학자 · JSTOR (2016년 5월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

최고정보보안책임자(CISO)는 기업의 비전, 전략 및 프로그램을 수립하고 유지하는 조직 내 고위 경영진을 말하며, 정보자산과 테크놀로지가 적절히 보호되도록 합니다.CISO는 정보 및 정보기술(IT) 리스크를 줄이기 위해 전사 프로세스의 특정, 개발, 구현 및 유지보수를 직원에게 지시합니다.사고 대응, 적절한 표준 및 제어 확립, 보안 테크놀로지 관리, 정책 및 절차 수립 및 실시 지시.CISO는 일반적으로 정보 관련 컴플라이언스도 담당합니다(예를 들어 ISO/IEC 27001 인증 취득을 위한 구현을 감독합니다).또한 CISO는 고객 및 소비자의 데이터를 포함하여 회사의 소유권 정보와 자산을 보호할 책임이 있습니다.CISO는 다른 경영진과 협력하여 회사가 책임감 있고 윤리적인 방식으로 성장하고 있는지 확인합니다.

일반적으로 CISO의 영향은 조직 전체에 미치고 있습니다.책임에는 다음이 포함될 수 있지만 이에 한정되는 것은 아닙니다.

• 컴퓨터긴급대응팀/컴퓨터보안사고대응팀
• 사이버 보안
• Disaster recovery 및 비즈니스 연속성 관리
• ID 및 액세스 관리
• 정보 프라이버시
• 정보규제 컴플라이언스(예: 미국 PCI DSS, FISMA, GLBA, HIPAA, 1998년 영국 데이터보호법, 캐나다 PIPEDA, 유럽 GPR)
• 정보 리스크 관리
• 정보보안 및 정보보증
• 정보보안운용센터(ISOC)
• 재무 및 기타 시스템의 정보기술 제어
• IT 조사, 디지털 포렌식, 전자 정보 공개

기업, 정부기관 및 비영리단체에서는 CISO 또는 이와 동등한 기능을 갖는 것이 표준적인 관행이 되었습니다.2009년까지 대기업의 약 85%가 보안 담당 이그제큐티브를 채용하고 있었습니다.이는 2008년의 56%, 2006년의 43%에서 증가한 수치입니다.2018년 CIO, CSO 및 ^[1][2]PwC가 공동으로 실시한 GSISS(Global State of Information Security Survey 2018)는 기업의 85%가 CISO 또는 이와 동등한 기능을 보유하고 있다고 결론내렸습니다.CISO의 역할은 비즈니스 프로세스, 정보 보안, 고객의 프라이버시 등 다양한 리스크로 확대되고 있습니다.그 결과, CISO 기능을 IT그룹에 더 이상 포함하지 않는 경향이 있습니다.2019년에는 최고정보책임자(CIO)에게 보고하는 CISO가 24%에 불과하고, 최고책임자(CEO)에게 직접 보고하는 CISO가 40%, CEO를 우회하여 이사회에 보고하는 CISO가 27%에 달합니다.CIO의 보고 구조에 CISO 기능을 짜넣는 것은 차선책으로 간주됩니다.이는 이해 상충이 발생할 가능성이 있고 역할의 책임이 IT그룹의 책임의 성격을 초월하기 때문입니다.

기업에서는 CISO가 비즈니스 통찰력과 기술 지식의 균형을 유지하는 경향이 있습니다.CISO는 수요가 많고 보수는 비슷한 회사 직함을 가진 다른 경영진 직급과 비교할 수 있습니다.

일반적인 CISO는 비기술적 인정(CISSP나 CISM 등)을 보유하고 있지만 기술적 배경에서 온 CISO는 확장된 기술 스킬 세트를 가지고 있습니다.기타 일반적인 훈련에는 정보보안 프로그램 관리를 위한 프로젝트 관리, 인포섹 예산 관리를 위한 재무관리(인정 MBA 보유 등), 정보보안 매니저, 정보보안 디렉터, 보안 분석가, 보안 엔지니어 및 테크놀로지 리스크로 구성된 이기종 팀을 지휘하는 소프트 스킬이 포함됩니다.매니저.최근에는 프라이버시 문제에 CISO가 관여하고 있기 때문에 CIPP 등의 인증이 매우 요구되고 있습니다.

이 영역의 최근 발전은 "가상" CISO(vCISO, "Fractional CISO"^[3]라고도 함)의 출현입니다.이러한 CISO는 상근 이그제큐티브 CISO를 지원할 수 없을 정도로 규모가 크지 않은 조직이나 다양한 이유로 전문 외부 이그제큐티브가 이 역할을 수행하기를 원하는 조직에서는 공유 또는 프랙셔널 기반으로 기능합니다.vCISO는 일반적으로 기존의 CISO와 유사한 기능을 수행하며 "간격 CISO"로서 기능할 수도 있습니다.기존의 CISO를 채용하고 있는 기업은,^[4] 대체 제품을 찾고 있습니다.vCISO가 조직을 지원할 수 있는 주요 영역은 다음과 같습니다.

• 모든 형태의 사이버 리스크에 대한 조언 및 대처 계획
• 이사회, 경영진 및 보안팀의 코칭
• 벤더 제품 및 서비스 평가 및 선정
• 성숙도 모델링 운영 및 엔지니어링 팀 프로세스, 역량 및 기술
• 이사회 및 경영진 브리핑 및 업데이트
• 운영 및 자본 예산 계획 및 검토

「 」를 참조해 주세요.

• 정보 보안
  • 정보보안 거버넌스
  • 정보보안 관리
• 이사회
• 최고 데이터 책임자
• 최고 경영자
• 최고정보책임자
• 최고 리스크 책임자
• 최고 보안 책임자

레퍼런스

외부 링크

• "The CERT Division". Carnegie Mellon University Software Engineering Institute. Retrieved 2021-08-17.
• Bird, Brad (2020-04-21). "What is a Chief Information Security Officer?". Office of the CISO. Retrieved 2021-08-17.
• "Managing Information Security Risk: Organization, Mission, and Information System View". NIST. March 2011. Retrieved 2021-08-17.